| Volume 4, Numero 1-2-3, Articolo 1 |
Titolo | LA NORMA ISO 27001 PER LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: BREVI RIFLESSIONI SUI PUNTI IN COMUNE E LE DIFFERENZE RISPETTO ALLA METODOLOGIA DEL LEAN SIX SIGMA |
Autori | Clara Celeste Piovano |
Affiliazione | |
Sommario | La ISO 27001 è uno standard internazionale sul sistema di gestione delle informazioni e rappresenta dunque una norma, non una metodologia come il Lean Six Sigma (LSS). Tuttavia sono numerosi i punti in comune tra la ISO 27001 e il LSS. L’obiettivo di questo articolo vuole essere quello di accompagnare il lettore alla scoperta degli aspetti che accomunano la ISO 27001 e il LSS, ma anche quello di mettere in evidenza una serie di differenze che li contraddistinguono. La ISO 27001 prevede un approccio per così dire top-down: è l’Alta Direzione a definire una Politica (nota più comunemente come Policy), ossia un insieme di orientamenti e indirizzi generali per una strategia di business. Dopo aver definito la Politica, viene stabilito un piano organizzativo con ruoli chiari e viene nominato il Responsabile del sistema di gestione per la sicurezza delle informazioni (SGSI) che si occuperà della verifica dell’implementazione di questa norma. In un progetto LSS, invece, può essere adottato sia un approccio top-down (se il Top Management vuole avviare un’iniziativa LSS per migliorare un determinato processo o prodotto o servizio, aumentando le performance o la Customer Satisfaction) sia bottom-up (ad esempio se parte dagli stessi dipendenti di un’azienda la proposta di apportare miglioramenti al ciclo produttivo di un particolare item o di migliorare l’organizzazione del modo di lavorare, anche solo della postazione di lavoro). Sia la ISO 27001 sia i progetti Lean Six Sigma prevedono una gestione del rischio in ogni fase, analizzando i possibili fattori di rischio, la probabilità di accadimento e l’impatto. La logica adottata per entrambi gli approcci prevede di organizzare e ripensare ciò che va valutato e migliorato in termini di processi, sempre in un’ottica di miglioramento continuo. Inoltre sia la ISO 270001 sia un progetto LSS prevedono team di lavoro, solitamente interdisciplinari per avere più funzioni aziendali coinvolte. Hanno un ruolo fondamentale sia la formazione sia la comunicazione: più si riesce a costruire un’awareness elevata, meno probabilità di attacchi alla sicurezza delle informazioni ci saranno (soprattutto “insider threat”, ossia attacchi informatici effettuati dall’interno della realtà aziendale stessa); analogamente, più si è riusciti a diffondere consapevolezza dell’importanza e dell’efficacia della metodologia del Lean Six Sigma e migliori saranno le performance. La strutturazione della ISO 27001 e del Lean Six Sigma per fasi e l’ottica comune di miglioramento continuo fanno sì che si tratti di due approcci con molti più aspetti in comune di quanto si potrebbe pensare. |
Keywords | ISO 27001, Lean Six Sigma, phases, continuous improvement, risk management, awareness, training, communication |
Title | THE ISO 27001 STANDARD FOR SECURITY MANAGEMENT OF INFORMATION: BRIEF REFLECTIONS ON THE POINTS IN COMMON AND DIFFERENCES COMPARED TO THE METHODOLOGY LEAN SIX SIGMA METHODOLOGY |
Abstract | ISO 27001 standard and Lean Six Sigma (LSS) methodology are both approaches to achieve improvement: the first one aims to manage and improve the system of information of an organization, the second one aims to improve a process, a product or a service. In this article we will discover the aspects that unite ISO 27001 and LSS, but also we will highlight a number of differences that distinguish them. The ISO 27001 and the LSS methodology have an approach based on phases and involve risk management. Both training and communication have a key role to play: the more awareness is built up, the less likely there will be attacks on information security (especially “insider threat”, i.e. cyber attacks carried out within the company itself); similarly, the more awareness of the importance and the effectiveness of the Lean Six Sigma methodology is spread, the better the performance will be. |
Citare come | C. Piovano 2020 LA NORMA ISO 27001 PER LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: BREVI RIFLESSIONI SUI PUNTI IN COMUNE E LE DIFFERENZE RISPETTO ALLA METODOLOGIA DEL LEAN SIX SIGMA Quality & Engineering 4(1/2/3), pp 6-17 |